Несмотря на свое довольно широкое название, проект СТР-45 рассматривает в основном только одну сторону обеспечения безопасности ИТ — защиту от НСД в АС. Кроме того, изложены требования к физической защите и защите среды ИТ (пожарная, электробезопасность и т.д.). При этом, чтобы хоть как-то соответствовать своему названию, вместо термина АС по тексту используется термин «ИТ» — упорядоченная совокупность аппаратных, программных, аппаратно-программных средств, систем и информационных процессов. На наш взгляд, определение не очень удачное, так как из него не видно, как связаны информационные процессы с «железом». Кроме того, непонятно, что относится к И Т. Например, мобильный телефон — это тоже упорядоченная совокупность программных и аппаратных средств и информационных процессов, нарушение безопасности которых вполне может повлечь существенный ущерб.
Большая часть рассматриваемого регламента посвящена требованиям к безопасности при эксплуатации ИТ. В проекте указаны стадии жизненного цикла ИТ: подготовка к эксплуатации, ввод в эксплуатацию, эксплуатация, снятие с эксплуатации, и для каждой стадии приведен перечень необходимых мероприятий.
|
|
Первое, что необходимо выполнить при подготовке к эксплуатации, — это категорирование по безопасности ИТ. СТР-45 вводит 6 категорий ИТ, в зависимости от того, какой ущерб возможен при нарушении безопасности (табл. 1.2). К данным, приведенным в таблице, надо применять операцию «или».
Размер ущерба от нарушения безопасности будет определяться после выполнения анализа и оценки рисков, правила выполнения которых приведены в Приложении В к проекту СТР-45.
Кроме категорирования по безопасности в проекте СТР-45 предусмотрена еще и классификация ИТ, но для чего она выполняется, разработчики написать «забыли». Требования к ИТ предъявляются лишь исходя из категории безопасности ИТ. В соответствии с духом ГОСТ 15408, все требования подразделяются на функциональные и требования доверия к безопасности. Функциональные требования, в свою очередь, подразделяются на требования к организационным мерам и требования к техническим мерам и средствам обеспечения безопасности ИТ.
Таблица 1.2. Категорирование по безопасности ИТ
Категория ИТ (уровень ущерба) | Материальный ущерб, МРОТ | Нарушены условия жизнедеятельности, человек | Пострадало, человек | Размер зоны чрезвычайной ситуации |
1-я | 401-500 | 2-10 | — | — |
2-я | 501-1000 | 11 -100 | 1-10 | Территория объекта |
3-я | 1001-5000 | 101-300 | П-50 | Населенный пункт, район |
4-я | 5001 -0,5 млн | 301-500 | 51-500 | Субъект РФ |
5-я | 0,5 млн—5 млн | 501-1000 | 51-500 | 2 субъекта РФ |
6-я | > 5 млн | > 1000 | >500 | >2 субъектов РФ |
|
|
Из описания организационных мер обеспечения безопасности видно, что авторы СТР-45 учли прогрессивные международные стандарты и рекомендации «наилучшей практики», такие как ISO 17799, BSI, COBIT и др., в том числе корпоративные стандарты. Оргмеры включают не только традиционные мероприятия по защите, но и реагирование на инциденты безопасности, действия в непредвиденных ситуациях (т.е. обеспечение непрерывности ведения бизнеса), оценку рисков, информирование и обучение пользователей.
Функциональные требования помимо прочего включают сравнительно новые для наших пользователей детализированные требования к аудиту безопасности ИТ, требования к защите коммуникаций. Введение последней категории требований показывает, что разработчики учли распределенный характер современных ИТ.
Требования доверия к безопасности менее многочисленны, чем функциональные, и включают в основном требования к сопровождению ИТ, внесению изменений в ее конфигурацию, требования к персон ал у и к документации.
По-видимому, болезненный для многих потребителей вопрос связан с аттестацией ИТ. Согласно существующей нормативной базе, аттестация ИТ внешней комиссией выполняется лишь в случае «обработки гостайны». В проекте СТР-45 предусмотрены две формы оценки соответствия ИТ требованиям безопасности: аттестация ИТ и государственный контроль (надзор). При этом для ИТ 3 —6-й категорий аттестация осуществляется аккредитованными органами по аттестации, для первой и второй категорий — своими силами. Государственный контроль (надзор) выполняется пока неназванными уполномоченными органами, правила его проведения и периодичность пока также не указаны. Тем не менее, по результатам контроля процесс эксплуатации ИТ в случае обнаружения нарушений СТР-45 может быть остановлен.